Выпуск прокси-сервера Squid 3.4.8 с устранением уязвимостей

Доступна новая версия прокси-сервера Squid 3.4.8, в которой устранены две уязвимости:

  • CVE-2014-6270 - переполнение буфера при обработке SNMP-запросов, позволяющее клиенту, имеющему доступ к SNMP-интерфейсу Squid инициировать отказ в обслуживании через отправку специально оформленного запроса. Проблема имеет характер 0-day уязвимости для которой зафиксировано проведение атак. В уведомлении не говорится о возможности организации выполнение кода злоумышленника, но теоретически такая возможность не исключена, так проблема позволяет переписать данные за пределами выделенного буфера.
  • CVE-2014-7141, CVE-2014-7142 - проблемы при обработке пакетов ICMP и ICMPv6, позволяющие вызвать отказ в обслуживании или организовать или утечку информации из кучи в файлы с логами через отправку ненормально больших пакетов ICMP/ICMPv6 к Squid pinger helper. Проблему усугубляет то, что pinger helper выполняется с правами root.


Источник:
http://www.opennet.ru/opennews/art.shtml?num=40742

<= Назад
Комментарии
]]> ipv6 ready Kiev LUGLinux4MeНостальгияЛичный сайт skeletora ]]>